[alex_sev]

Введите в командной строке

Код:

route -f

перезагрузите компьютер, изменения есть?

[Shnurkov]

Нет изменений

[alex_sev]

Выполните 4 стандартный скрипт в AVZ полученный архив из папки LOG пришлите на severnyj (at) mail.ru где (at) = @, если архив будет слишком большим залейте на файлообменник и выложите ссылку.

Подготовьте лог HiJackThis http://forum.oszone.net/thread-177677.html

[Shnurkov]

http://narod.ru/disk/17454334001/vir...ER-XP.zip.html

[alex_sev]

Выполните скрипт в AVZ

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\2B.tmp','');
 QuarantineFile('C:\WINDOWS\system32\12.tmp','');
 DeleteFile('C:\WINDOWS\system32\2B.tmp');
 DeleteFile('C:\WINDOWS\system32\12.tmp');
 DelCLSID('>{KMPlayer}');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится, После перезагрузки:
- выполните такой скрипт

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Полученный архив отправьте с помощью этой формы http://www.oszone.net/virusnet/ с указанием ссылки на тему в теме (заголовке) сообщения. с указанием пароля: virus в теле письма.

Пофиксите в HJT

Код:

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://DreamLair.net
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

Удалите в MBAM

Код:

c:\WINDOWS\system32\SaveHWID.exe (Trojan.Glox) -> No action taken.
c:\WINDOWS\system32\savehwids.exe (Trojan.Glox) -> No action taken.
c:\WINDOWS\system32\ssFields.scr (Malware.Packer.Gen) -> No action taken.

Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Примечание: В случае, если ComboFix не запускается, переименуйте combofix.exe. Например: temp.exe

Подробнее в "ComboFix. Руководство по применению."

[Shnurkov]

в hjt строки пофиксил
в mbam я удали все, что он нашел ( в т.ч. кейгены и кряки ) еще до того, как запостил здесь тему. Повторить проверку?
После комбофикса инет пропал вообще. При этом могу нормально зайти по 192.168.1.1 на адсл модем, но в нет не пускает даже если писать адреса айпишниками.
Разумеется перезагружался.
Да, еще после комбофикса куда-то сбрило асперского.
А нет, обманул, после очередной перезагрузки и инет и касперский вернулись.
Но страницы открываются только если притушить касперкого, на главную ютуба стало заходить, но не открывается куча сайтов, в т.ч. и ни одна страничка кроме главной с ютуба не грузится вообще, да и окошко всплывающее все там же, что б его.
Не заметил, что вы написали скрипт для авз
Сильно критично, что я его вполнил в последнюю очередь?

[thyrex]

Сделайте лог TDSSkiller
Возможно он решит проблему с браузерами

[Shnurkov]

после tdsskillera (убил то, что ему не понравилось) сайты стали открываться вроде все и окно это гадское пока не всплывает, но я еще мало времени тестил.
Но по прежнему инет работает только без касперского. Пока он включен не работают ни браузеры, ни другой софт, типа мэйл агента. При запуске ие касперский сейчас ругается, что обнаружена попытка запуска браузера с параметрами командной строки или как-то так. Могу напечатать точно, если это поможетв диагностике проблемы.

[thyrex]

Цитата Shnurkov:

обнаружена попытка запуска браузера с параметрами командной строки или как-то так »

Проверьте в ярлыке запуска браузера, нет ли какого-либо "хвоста" после имени файла браузера